Tùy chọn dhcp-snooping 82 giảm yêu cầu dhcp hợp lệ trên các thiết bị chuyển mạch Procurve 2610

Chúng tôi đang dần bắt đầu triển khai dhcp-snooping trên các thiết bị chuyển mạch dòng HP ProCurve 2610, tất cả đều chạy firmware R.11.72. Tôi đang thấy một số hành vi kỳ lạ khi các gói dhcp-request hoặc dhcp-refresh bị hủy khi xuất phát từ các công tắc "hạ lưu" do "thông tin chuyển tiếp không tin cậy từ máy khách".

Lỗi đầy đủ:

Received untrusted relay information from client <mac-address> on port <port-number>

Chi tiết hơn, chúng ta có HP2610 48 cổng (Switch A) và 24 cổng HP2610 (Switch B). Switch B là "hạ lưu" của Switch A nhờ kết nối DSL với một trong các cổng Switch A. Máy chủ dhcp được kết nối với Switch A. Các bit có liên quan như sau:

Chuyển A

dhcp-snooping
dhcp-snooping authorized-server 192.168.0.254
dhcp-snooping vlan 1 168
interface 25
    name "Server"
    dhcp-snooping trust
exit

Công tắc B

dhcp-snooping
dhcp-snooping authorized-server 192.168.0.254
dhcp-snooping vlan 1
interface Trk1
   dhcp-snooping trust
exit

Các công tắc được đặt để tin tưởng CẢ HAI cổng mà máy chủ dhcp được ủy quyền được đính kèm và địa chỉ IP của nó. Đây là tất cả tốt và tốt cho các máy khách được gắn vào Switch A, nhưng các máy khách được gắn với Switch B bị từ chối do lỗi "thông tin chuyển tiếp không đáng tin cậy". Điều này là kỳ lạ vì một vài lý do 1) dhcp-rơle không được cấu hình trên một trong hai công tắc, 2) mạng Lớp 3 ở đây phẳng, cùng một mạng con. Các gói DHCP không nên có thuộc tính 82 tùy chọn sửa đổi.

Tuy nhiên, dhcp-rơle dường như được bật theo mặc định:

SWITCH A# show dhcp-relay
  DHCP Relay Agent         : Enabled 
  Option 82                : Disabled
  Response validation      : Disabled
  Option 82 handle policy  : append
  Remote ID                : mac  


  Client Requests       Server Responses

  Valid      Dropped    Valid      Dropped   
  ---------- ---------- ---------- ----------
  0          0          0          0         

SWITCH B# show dhcp-relay
  DHCP Relay Agent         : Enabled 
  Option 82                : Disabled
  Response validation      : Disabled
  Option 82 handle policy  : append
  Remote ID                : mac  


  Client Requests       Server Responses

  Valid      Dropped    Valid      Dropped   
  ---------- ---------- ---------- ----------
  40156      0          0          0         

Và thật thú vị, đại lý chuyển tiếp dhcp có vẻ rất bận rộn trên Switch B, nhưng tại sao? Theo như tôi có thể nói không có lý do tại sao các yêu cầu dhcp cần chuyển tiếp với cấu trúc liên kết này. Và hơn nữa tôi không thể biết tại sao công tắc ngược dòng lại bỏ các yêu cầu dhcp hợp pháp đối với thông tin chuyển tiếp không đáng tin cậy khi tác nhân chuyển tiếp trong câu hỏi (trên Switch B) không sửa đổi thuộc tính 82 tùy chọn nào.

Việc thêm no dhcp-snooping option 82Công tắc A cho phép lưu lượng dhcp từ Công tắc B được phê duyệt bởi Công tắc A, nhờ vào việc tắt tính năng đó. Những tác động của việc không xác nhận tùy chọn 82 lưu lượng dhcp đã sửa đổi là gì? Nếu tôi tắt tùy chọn 82 trên tất cả các công tắc "ngược dòng" của mình - chúng có vượt qua lưu lượng dhcp từ bất kỳ công tắc hạ lưu nào bất kể tính hợp pháp của lưu lượng đó không?

Hành vi này là khách hàng hệ điều hành bất khả tri. Tôi thấy nó với cả máy khách Windows và Linux. Các máy chủ DHCP của chúng tôi là máy Windows Server 2003 hoặc Windows Server 2008 R2. Tôi thấy hành vi này bất kể hệ điều hành của máy chủ DHCP.

Bất cứ ai cũng có thể làm sáng tỏ những gì đang xảy ra ở đây và cho tôi một số khuyến nghị về cách tôi nên tiến hành cấu hình cài đặt tùy chọn 82? Tôi cảm thấy như tôi chưa hoàn toàn mò mẫm chuyển tiếp dhcp và tùy chọn 82 thuộc tính.

Bạn nói rằng "chuyển tiếp dhcp không được bật" ... nhưng rõ ràng là như vậy, dựa trên đầu ra chuyển tiếp dhcp của bạn.

Hãy thử vô hiệu hóa nó một cách rõ ràng; dựa trên các ý kiến ​​trên tôi nghi ngờ vấn đề của bạn sẽ biến mất :)

Trên thực tế, gói trên công tắc A đang bị giảm do bạn nhận được gói máy khách DHCP với tùy chọn82 trên một cổng không tin cậy. Tùy chọn-82 này được chèn bởi switchB.

Tôi nghĩ dưới đây nên làm việc -

Bật, SwitchB - tắt tùy chọn 82 để điều này không chèn các tùy chọn này. đánh dấu giao diện-25 là tin cậy để cho phép gói máy chủ DHCP chảy xuống.

Bật, SwitchA- Bạn có thể giữ tùy chọn-82 được bật / tắt ở đây. nó không quan trọng đánh dấu cổng được kết nối với switchB là không đáng tin cậy. đánh dấu cổng được kết nối với máy chủ dhcp là đáng tin cậy.

Tôi nghĩ rằng bạn có thể đang hiểu sai ý tưởng về một cổng đáng tin cậy. Tôi đồng ý rằng chỉ tin tưởng các cổng mà các ưu đãi đang đến là trực quan nhưng tôi hiểu là bạn cũng cần tin tưởng vào cổng trung kế trên Switch A. Bạn đánh dấu các cổng đáng tin cậy được kết nối với thiết bị mà bạn biết và tin tưởng. Chỉ vì bạn đánh dấu trung kế trên Công tắc A là đáng tin cậy không có nghĩa là bạn sẽ cho phép máy chủ DHCP giả mạo tồn tại trên công tắc B. Nếu thiết lập chính xác, công tắc B không tin tưởng bất kỳ cổng nào khác ngoài thân của nó. vẫn ngăn không cho máy chủ DHCP lừa đảo ngồi trên công tắc B và gửi đề nghị cho khách hàng trên công tắc A.

Nói tóm lại, bạn phải tin tưởng các cổng được kết nối với các máy chủ DHCP của riêng bạn và các cổng được kết nối với các công tắc khác mà bạn quản lý (vì vậy bạn có thể chắc chắn rằng không có bất kỳ cổng đáng tin cậy nào khác).